Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer Computerviren Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer

Gliederung Der Computer Geschichte der Computerviren Virenautoren Würmer Trojanische Pferde Hoaxes Zombis 0190-Dialer Tendenzen Schutz jochen.koubek@hu-berlin.de

1. Der Computer jochen.koubek@hu-berlin.de

1.1. Boot BIOS sucht Bootsektor BIOS lädt Betriebssystem (OS) OS lädt Treiber Desktop anzeigen Startup-Programme ausführen jochen.koubek@hu-berlin.de

2. Geschichte 1949 v. Neumann: Selbst-reproduzierende Programme 1975 Brunner: „Tapeworm“ 1984 Fred Cohens Doktorarbeit 1986 „Brain“-Virus 1987 Erster Virenscanner McAffee, 19 Viren. 1988 Internet-Worm 1992 „Michelangelo“ 1999 „Melissa“ 2000 „I Love You“ jochen.koubek@hu-berlin.de

3. Virenautoren: Motivation Männlicher Nerd, unter 25 Jahre Machtgefühl Reichweite überprüfen Geltungsdrang in der Szene Vandalismus Sabotage Erpessung jochen.koubek@hu-berlin.de

Phantasmen Cyber-Punk Über-Cracker Omnipotenz Technozid Dark Angel's Phunky Virus Writing Guide ---- ------- ------ ----- ------- ----- Virii are wondrous creations written for the sole purpose of spreading and destroying the systems of unsuspecting fools. This eliminates the systems of simpletons who can't tell that there is a problem when a 100 byte file suddenly blossoms into a 1,000 byte file. Duh. These low-lifes do not deserve to exist, so it is our sacred duty to wipe their hard drives off the face of the Earth. It is a simple matter of speeding along survival of the fittest. jochen.koubek@hu-berlin.de

Phantasmen: Quellen Science-Fiction, Techno-Fiction (Viren als ultimative Waffe im Kampf Mensch/Maschine) Medienkonstruktionen (Karl Koch, Kevin Mittnick) Wahl der Metaphern Vermenschlichung des Computers Maschinisierung des Menschen jochen.koubek@hu-berlin.de

4. Virus Programm Selbst-Reproduzierend Infizierend Mit oder ohne Schadensfunktion jochen.koubek@hu-berlin.de

Klassifikationen 4.1. Klassifikation nach Wirt 4.2. Klassifikation nach Schaden 4.3. Klassifikation nach Funktion jochen.koubek@hu-berlin.de

4.1. Klassifikation nach Wirt Bootsektor (Floppy) Master Boot Record (HD) Programm Multipart (Boot + Datei) Dokument (Makro) [Email-Attachment] jochen.koubek@hu-berlin.de

Dateiviren-Arbeitsweise +----------------+ +------------+ | P1 | P2 | | V1 | V2 | The uninfected file The virus code +---------------------+ | P1 | P2 | P1 | | V1 | P2 | P1 | +-----------------------------+ | V1 | P2 | P1 | V2 | jochen.koubek@hu-berlin.de

Datei-Virus-Aufbau Signatur Infektion (Replikator) Tarnmechanismus (Concealer) Destruktor (Bomb) Programmfortsetzung jochen.koubek@hu-berlin.de

Dateivirus-Ausführen Aufruf des infizierten Programms (z.B. Autostart) Laden des Programms Start des Programms Ausführen des Virus Fortsetzung des Programms jochen.koubek@hu-berlin.de

Macroviren-Aufbau Autoexec-Macro infiziert Normal.dot FileSaveAs, FileSave, FileOpen, ToolsMacros Schadensroutine jochen.koubek@hu-berlin.de

Macroviren-Ausführen Laden des infizierten Normal.dot Laden eines sauberen Dokuments FileOpen, AutoOpen Infizieren des Dokuments Ausführen der Schadensfunktion PayLoad jochen.koubek@hu-berlin.de

4.2. Klassifikation nach Schaden Ressourcenverbrauch Technische: Speicher, Prozessorzeit Menschliche: Arbeitszeit, Reparatur Vermehrung Destruktiv Absichtlich: Logische Bomben Unabsichtlich Ziel (z.B. Anti-Virus-Virus) jochen.koubek@hu-berlin.de

Schaden Nachrichten -> Musik Datenverlust -> Datenspionage Partielle Ausfälle Hardwareausfälle hllc-dosinfo jochen.koubek@hu-berlin.de

4.3. Klassifikation nach Funktionsweise Resident (TSR) Überschreibend (Overwriting) Getarnt (Stealth) Verschlüsselt Polymorph jochen.koubek@hu-berlin.de

Virenmythen Autonome Entitäten Plattformunabhängig Unmittelbare Wirkung Universelle Hintertür Subversives Herrschaftswissen Quellen: s.o. jochen.koubek@hu-berlin.de

5. Würmer Selbst-reproduzierend Nicht-infizierend Mailwürmer Attachments Stealth (loveletter.txt.vbs) MAPI jochen.koubek@hu-berlin.de

Epidemie Code Red: Do, 19 Juli 2001 jochen.koubek@hu-berlin.de

6. Trojanische Pferde Nicht-Reproduzierend Nicht-Infizierend Verdeckte Schadensroutine Password Sniffer Backdoor (Back Orifice) dDOS jochen.koubek@hu-berlin.de

7. Hoaxes/Kettenbriefe Soziale Viren Aufbau Aufhänger Drohung Aufforderung Erkennungsmerkmale Technische Sprache Glaubwürdigkeit durch Autorität „Schick mich an Alle!“ jochen.koubek@hu-berlin.de

Hoax Beispiel 1/3 jochen.koubek@hu-berlin.de Der Aufhänger > Subject: Viruswarnung > > V I R U S W A R N U N G ! > Es wurde gerade ein neues Virus festgestellt, den Microsoft und > McAfee als den bisher gefährlichsten Virus überhaupt bezeichnen! > Dieses Virus wurde erst am Freitag nachmittag von McAfee > festgestellt und wird noch nicht von Virenscannern erkannt. Das > Virus zerstört den Null-Sektor der Festplatte, wo wichtige > Informationen für die Funktion der Festplatte gespeichert sind. jochen.koubek@hu-berlin.de

Hoax Beispiel 2/3 jochen.koubek@hu-berlin.de Die Drohung > Die Funktionsweise des Virus ist wie folgt: > > Das Virus versendet sich automatisch an alle Kontaktadressen > aus dem Email-Adressbuch und gibt als Betrefftext > "A Virtual Card for You" an. > Sobald die vorgebliche virtuelle Postkarte geöffnet wird, > bleibt der Rechner hängen, sodass der Anwender einen Neustart > vornehmen muss. > Wird nun die Kombination [Strg]+[Alt]+[Del] oder der Reset-Knopf am > Rechnergehäuse gedrückt, löscht das Virus den Null-Sektor der > Festplatte, womit die Festplatte dauerhaft unbrauchbar ist. Wenn Sie > also eine Nachricht mit dem Betreff "A Virtual Card for You" > erhalten, öffnen Sie diese mail KEINESFALLS, sondern löschen Sie die > Nachricht sofort. > Am Freitag hat dieses Virus Innerhalb weniger Stunden geradezu eine > Panik unter EDV-Usern in New York verursacht, wie CNN berichtet > http://www.cnn.com <http://www.cnn.com > <http://www.cnn.com<http://www.cnn.com> >> . jochen.koubek@hu-berlin.de

Hoax Beispiel 3/3 jochen.koubek@hu-berlin.de Die Aufforderung > Bitte leite das vorliegende Mail an alle Personen in Ihrem > Email-Verzeichnis weiter. Es ist sicherlich besser, diese > Nachricht 25 Mal zu erhalten, als gar nicht! jochen.koubek@hu-berlin.de

8. Zombies Beendeter Prozess ohne Speicherfreigabe Untotes Programm jochen.koubek@hu-berlin.de

9. 0190-Dialer DFÜ-Einwähler jochen.koubek@hu-berlin.de

10. Tendenzen Datei und Boot-Viren rückläufig Netzwerkviren Cross-Application Macro-Viren über VBA Email-Würmer 0190-Dialer Virus-Construction-Kit WAP / PDA -Viren Mutierende bzw. Polymorphe Viren jochen.koubek@hu-berlin.de

Viren Top Ten 12/2001 jochen.koubek@hu-berlin.de

Viren Top Ten 08/2002 jochen.koubek@hu-berlin.de

Hoax Top Ten 08/2002 jochen.koubek@hu-berlin.de

11. Schutzmöglichkeiten Risiko: ungeschützter Software-Tausch mit häufig wechselnden Tauschpartnern Risiko: Unsichere Mail-Clients jochen.koubek@hu-berlin.de

Prävention Aufklärung Backups anlegen Keine dubiosen Attachments öffnen Keine Kettenbriefe weiterleiten Antivirensoftware Monitore Authentizitätsprüfer Scanner Heuristische Scanner jochen.koubek@hu-berlin.de

Behandlung Restaurierung (Backup) Desinfektion Serum Pflaster (Patches) Impfung jochen.koubek@hu-berlin.de

Bookmarks jochen.koubek@hu-berlin.de http://www.tu-berlin.de/www/software/antivirus.shtml Die vermutlich umfangreichste deutschsprachige Bookmarksammlung. Hier gibt es Links zu Herstellern von Antivirus-Software, Grundlagentexte und bei Bedarf einen Newsletter. http://www.tu-berlin.de/www/software/hoax.shtml Informationen über E-Mail Falschmeldungen (Hoaxes). Ein Verdacht auf einen Virus-Hoax sollte auf dieser Seite überprüft werden. http://www.sophos.de Sophos ist ein Hersteller von Antivirus-Software. Die Site ist sehr informativ aufgebaut. Viele Informationen und Neuigkeiten aus der Virusszene. Bei Bedarf kann man sich einen Newsletter mit aktuellen Viruswarnungen zuschicken lassen. http://www.sophos.de/virusinfo/whitepapers/ Grundlagenartikel von Sophos über Computerviren. http://www.heise.de/ct/antivirus/ Die Zeitschrift c't des Heise-Verlags bietet kompakte Informationen und viele Bookmarks. Insbesondere Links zu Antivirus-Software. http://www.heise.de/ct/antivirus/emailcheck/ Überprüfung des E-Mail-Clients auf bekannte Sicherheitslücken. jochen.koubek@hu-berlin.de

Ende jochen.koubek@hu-berlin.de